Imagine você recebendo um e-mail dizendo ser do seu banco solicitando que se cadastre imediatamente em um determinado site, pois sua conta será bloqueada dentro de alguns dias. Você recebe uma ligação de uma pessoa se dizendo ser da administração de rede e que necessita instalar um programa no seu computador, só que para isso necessita renovar a senha, necessitando da senha anterior. Qual seria sua ação?

O que é Engenharia Social?

A Engenharia Social é um método de ataque onde o atacante utiliza a persuasão como ferramenta principal para atingir seu objetivo: obter informações de usuários que nem imaginam o que estão fornecendo e para quem. O atacante frauda sua identidade, e se utiliza da confiança e ingenuidade do usuário alvo.

Engenharia Social através do e-mail

A primeira situação aconteceu durante o carnaval deste ano, onde o atacante utilizou dois métodos de ataque que foram: o de Engenharia Social, foco desta matéria, e o de fraude da página WEB do Sistema de Internet Banking do Banco do Brasil.

Ao lado temos um outro exemplo de boato que circulou pela Internet. Felizmente este boato não colou, mas se tivesse sido concretizado, muitos usuários poderiam estar instalando e fornecendo informações particulares a pessoas má intencionadas. No ataque utilizando a Engenharia Social o sucesso depende apenas da decisão que o usuário irá tomar, decisão esta de fornecer a informação solicitada ou de executar algum programa.

Fraudes

Você já se perguntou ou teve a curiosidade de saber se o site de Internet Banking do Banco X, aquele que você tem conta é realmente do Banco X? Ou se aquele site onde faz compras é realmente da loja Y? Você já teve esta preocupação?

Boa parte das técnicas de fraude se utiliza da Engenharia Social para conseguir informações dos usuários, algumas são apresentadas neste artigo em outras é necessário ter um conhecimento técnico elevado. Mas como se prevenir?
Seguem abaixo algumas dicas que podem ajudar em certos momentos:

• Procure sempre digitar no browser (Navegador Internet Explorer) o endereço da instituição que deseja acessar, evite utilizar links em páginas de terceiros, pois elas podem ter sido alteradas intencionalmente;

• Esteja atento aos ataques que utilizam a Engenharia Social;

• Procure realizar transações somente em sites de instituições que você achar confiável;

• Certifique-se que o site da instituição que você está acessando utiliza uma conexão segura, se ela é encriptada, entre você e o site da instituição;

• Verifique se o certificado digital da instituição está dentro da Validade.
  

Ao acessar o site de um Banco, loja ou outra instituição onde você tenha que entrar com alguma informação do tipo senha ou cartão de crédito procure observar o tipo de conexão, a seguir mostramos como isso pode ser feito.

Um meio de verificar se você esta utilizando uma conexão segura é através do endereço no seu browser, em uma conexão segura o endereço deve começar com https://, diferente de uma conexão normal http://, veja o exemplo das figuras abaixo:

Conexão utilizando http		Conexão utilizando https

Como Prevenir?

Podemos adotar as seguintes ações para nos proteger deste tipo de ataque:

• Utilizar o bom senso;
• Cuidado com e-mails que lhe induzam a executar algum programa anexo. Se informe com a Administração de Rede;
• Cuidado com os links contidos em e-mails ou páginas WEB! Eles podem levar a sites fraudados;
• Cuidado com ligações solicitando senhas e nº de cartão de credito;
• Lembre-se que senhas de cartão, rede, dentre outras, são pessoais e não devem ser compartilhadas;
• Cuidado com ligações de terceiros se dizendo representar uma determinada pessoa de uma instituição, mesmo dizendo ser da sua empresa, confirme antes de tomar qualquer ação;
• Antes de tomar qualquer ação procure se informar diretamente com a instituição;
• Cuidado com as informações trocadas em salas de bate papo, Messenger, ICQ dentre outros sistemas de mensagens instantâneas - geralmente você não conhece a real identidade de quem está do outro lado;
• Dúvidas envie e-mail para segurança@chiptek.com.br

Lembrem-se nós somos um alvo de ataque tanto dentro da empresa e fora da empresa.

Quando você esta utilizando uma conexão segura deve observar o cadeado que aparece no seu browser, este cadeado deve estar fechado, se ele estiver aberto à conexão não é segura.

O Certificado Digital no mundo virtual e o equivalente ao reconhecimento de firma em cartório no mundo real. Quando você estiver em um site seguro e quiser verificar a validade do Certificado Digital do mesmo, no seu browser, vá na barra de ferramentas, clique em arquivo>propriedades, em seguida deverá aparecer a janela abaixo:

Em um certificado digital é importante verificar os seguintes itens.

• O endereço do site;
• O nome da Instituição Certificadora;
• O prazo de validade do certificado.
   

Referências
http://www.securitymagazine.com.br
http://www.nbso.nic.br

Josiel Borges